Los ciberatacantes están utilizando reCAPTCHA de Google (también conocido como la función "No soy un robot") y servicios falsos similares a CAPTCHA para ocultar varias campañas de phishing y otras, según los investigadores, informó Claudia Rincón Pérez, CEO de Factoría IT. Sin embargo, hay indicios de que esos esfuerzos de evasión pueden estar perdiendo eficacia.
Los CAPTCHA son familiares para la mayoría de los usuarios de Internet como los desafíos que se utilizan para confirmar que son humanos. Los acertijos de prueba de Turing generalmente implican hacer clic en todas las fotos en una cuadrícula que contienen un determinado objeto, o escribir una palabra presentada como texto borroso o distorsionado.
La idea es eliminar los bots en el comercio electrónico y los sitios de cuentas en línea, y tienen el mismo propósito para los delincuentes.
“Ocultar contenido de phishing detrás de CAPTCHA evita que los rastreadores de seguridad detecten contenido malicioso y agrega un aspecto legítimo a las páginas de inicio de sesión de phishing”, según un artículo del viernes de la Unidad 42 de Palo Alto Networks.
Aunque está lejos de ser nueva , es una técnica cada vez más popular: solo en el último mes, la empresa encontró 7.572 URL maliciosas únicas en 4.088 dominios de nivel de pago que empleaban el método de ofuscación. Eso es un promedio de 529 nuevas URL maliciosas protegidas por CAPTCHA por día.
Más allá del phishing: nuevas categorías de URL maliciosas
Además de la interminable letanía de campañas de phishing, las campañas de estafa y las puertas de enlace maliciosas que utilizan la evasión de CAPTCHA están en aumento, según la Unidad 42.
"Las estafas de encuestas y loterías son algunas de las páginas de grayware más comunes", según la publicación. "A cambio de un pago falso o la posibilidad de ganar la lotería, el usuario es atraído para que revele información confidencial, incluida la dirección, fecha de nacimiento, información bancaria, ingresos anuales, etc."
A menudo, estas páginas muestran desafíos de CAPTCHA solo si sospechan de la automatización basada en IP y versiones del navegador, dijeron los investigadores, para que sea lo más fácil posible para los visitantes tontos.
Otra categoría en crecimiento son las páginas de entrega de malware que abusan de los servicios CAPTCHA legítimos.
"Por ejemplo, la URL hxxps: // davidemoscato [.] Com sirve un archivo JAR malicioso que se oculta a los escáneres de seguridad al proteger la página con un desafío CAPTCHA", señalaron los investigadores.
Cómo encontrar sitios maliciosos protegidos por CAPTCHA
La buena noticia es que los investigadores de la Unidad 42 dijeron que es posible detectar páginas de phishing mediante la asociación de claves CAPTCHA.
La página que alberga el CAPTCHA tendrá sub-solicitudes que se pueden analizar en el HTML, que revelan la clave API de reCAPTCHA utilizada en los parámetros de URL, dijeron los investigadores. Estos identificadores se pueden analizar y buscar en otras páginas.
“Vemos que muchas campañas maliciosas reutilizan las claves de servicio CAPTCHA, ya sea para simplificar su infraestructura de malware o para evitar ser bloqueadas por el proveedor legítimo de reCAPTCHA por crear demasiadas cuentas y claves CAPTCHA”, explicaron.
Por ejemplo, en un caso, una página web dirigida a las credenciales de Microsoft utilizando la misma clave que una URL separada utilizada para el phishing de ID de Apple, según el informe.
“Las campañas masivas de phishing y grayware se han vuelto más sofisticadas, utilizando técnicas de evasión para escapar de la detección por rastreadores de seguridad automatizados”, concluyeron los investigadores. “Afortunadamente, cuando los actores malintencionados utilizan infraestructura, servicios o herramientas en su ecosistema de sitios web malintencionados, tenemos la oportunidad de aprovechar estos indicadores en su contra. Los identificadores CAPTCHA son un gran ejemplo de tal detección por asociación ".